Η Fortra προειδοποιεί για μια νέα ευπάθεια παράκαμψης ελέγχου ταυτότητας
που
επηρεάζει τις εκδόσεις GoAnywhere MFT (Managed File Transfer) πριν από την 7.4.1 που επιτρέπει σε έναν εισβολέα να δημιουργήσει έναν νέο χρήστη διαχειριστή.
Το GoAnywhere MFT χρησιμοποιείται από οργανισμούς σε όλο τον κόσμο για την ασφάλεια μεταφοράς αρχείων με πελάτες και επιχειρηματικούς συνεργάτες. Υποστηρίζει ασφαλή πρωτόκολλα κρυπτογράφησης, αυτοματισμό, κεντρικό έλεγχο και διάφορα εργαλεία καταγραφής και αναφοράς που βοηθούν στη νομική συμμόρφωση και τον έλεγχο.
Το ελάττωμα που αποκαλύφθηκε πρόσφατα παρακολουθείται ως
CVE-2024-0204
και έχει βαθμολογηθεί ως κρίσιμη με βαθμολογία CVSS v3.1 9,8 καθώς είναι απομακρυσμένη εκμετάλλευση, επιτρέποντας σε μη εξουσιοδοτημένο χρήστη να δημιουργεί χρήστες διαχειριστή μέσω της πύλης διαχείρισης του προϊόντος.
Η δημιουργία αυθαίρετων λογαριασμών με δικαιώματα διαχειριστή μπορεί να οδηγήσει σε πλήρη ανάληψη συσκευής. Στην περίπτωση του Go Anywhere MFT, αυτό θα επέτρεπε στους εισβολείς να έχουν πρόσβαση σε ευαίσθητα δεδομένα, να εισάγουν
κακόβουλο λογισμικό
και ενδεχομένως να επιτρέψουν περαιτέρω επιθέσεις εντός του δικτύου.
Το ελάττωμα επηρεάζει το Fortra GoAnywhere MFT 6.x από 6.0.1 και Fortra GoAnywhere MFT 7.4.0 και παλαιότερα και διορθώθηκε στο GoAnywhere MFT 7.4.1, που κυκλοφόρησε στις 7 Δεκεμβρίου
2023
. Η Fortra συμβουλεύει όλους τους χρήστες να εγκαταστήσουν την πιο πρόσφατη ενημέρωση (προς το παρόν 7.4.1) για να διορθώσετε την ευπάθεια.
Η Fortra παρέχει επίσης τις ακόλουθες δύο μη αυτόματες οδούς μετριασμού
η συμβουλευτική
:
- Διαγράψτε το αρχείο InitialAccountSetup.xhtml στον κατάλογο εγκατάστασης και επανεκκινήστε τις υπηρεσίες.
- Αντικαταστήστε το αρχείο InitialAccountSetup.xhtml με ένα κενό αρχείο και επανεκκινήστε τις υπηρεσίες.
Ένα πράγμα που πρέπει να σημειωθεί είναι ότι το CVE-2024-0204 ανακαλύφθηκε την 1η Δεκεμβρίου 2023, από τους Mohammed Eldeeb και Islam Elrfai από την Spark
Engineering
Consultants. Τούτου λεχθέντος, έχει περάσει σημαντικός χρόνος από την αρχική αποκάλυψη.
Η Fortra δεν έχει διευκρινίσει εάν η ευπάθεια χρησιμοποιείται ενεργά ή όχι. Ωστόσο, τώρα που το Fortra κυκλοφόρησε μετριασμούς και μια ιδέα για το πού να αναζητήσετε το σφάλμα, δεν θα ήταν περίεργο εάν τα PoC exploits κυκλοφορούσαν σύντομα.
Η BleepingComputer επικοινώνησε με τον προμηθευτή λογισμικού σχετικά με το εάν γίνεται ενεργή εκμετάλλευση, αλλά δεν έχουμε λάβει απάντηση.
Clop GoAnywhere επιθέσεις MFT
Στις αρχές του 2023, αποκαλύφθηκε ότι η συμμορία ransomware Clop είχε παραβιάσει 130 εταιρείες και οργανισμούς αξιοποιώντας ένα κρίσιμο ελάττωμα απομακρυσμένης εκτέλεσης κώδικα στο GoAnywhere MFT.
Το ελάττωμα παρακολουθείται ως CVE-2023-0669 και είχε χρησιμοποιηθεί ως ευπάθεια zero-day από τις 18 Ιανουαρίου 2023. Το Fortra ανακάλυψε την εκμετάλλευσή του στις 3 Φεβρουαρίου 2023 και κυκλοφόρησε ενημερώσεις κώδικα τρεις ημέρες αργότερα.
Δυστυχώς, η ζημιά είχε ήδη γίνει, με τον Clop να διεξάγει εκτεταμένες επιθέσεις κλοπής δεδομένων που επηρέασαν οργανισμούς σε όλο τον κόσμο, προκαλώντας διαρροές δεδομένων, ζημιά στη φήμη και λειτουργικές διακοπές.
Η Fortra κράτησε μια κρυπτική στάση απέναντι στα αιτήματα του Τύπου για λεπτομέρειες σχετικά με την κατάσταση και κοινοποίησε τα αποτελέσματα της εσωτερικής της έρευνας μόνο στα μέσα Απριλίου 2023.
Λαμβάνοντας υπόψη τα παραπάνω, οι οργανισμοί που χρησιμοποιούν Fortra GoAnywhere MFT θα πρέπει να εφαρμόζουν τις διαθέσιμες ενημερώσεις ασφαλείας και τους προτεινόμενους μετριασμούς το συντομότερο δυνατό και να ελέγχουν τα αρχεία καταγραφής τους για ύποπτη δραστηριότητα.
VIA:
bleepingcomputer.com
